Wanneer je als onderneming een marketingcampagne opzet, moet je niet enkel de juiste boodschap richten aan de juiste persoon en op het juiste moment. Je zal dit bovendien ook op de juiste manier moeten doen! Waar immers persoonsgegevens mee gemoeid zijn, daar duikt de GDPR op. Direct marketing op zich is in GDPR land zeker niet verboden, maar je moet toch wel aan het een en het ander denken. In deze blog leggen we uit hoe je direct marketing best aanpakt. Maar eerst: Wat is dat nu precies “direct marketing”?
Stap 1. Stel jezelf de vraag: “Doe ik aan direct marketing?”
Direct marketing wordt zeer ruim geïnterpreteerd. Direct marketing, dat is:
- Elke communicatie, gevraagd dan wel ongevraagd;
- Gericht op het promoten van een organisatie of een persoon, diensten, producten, zowel betalend als gratis, evenals merken of ideeën;
- Uitgaande van een organisatie (ongeacht het type) of persoon;
- Gericht aan natuurlijke personen (één of meer) die geïdentificeerd of identificeerbaar zijn.
Communicatie
De vorm waarin de communicatie plaatsvindt, is niet van belang. Het maakt dus niet uit of de communicatie gebeurt via e-mail, post, telefoongesprek, sms, bezoek aan de deur, een social media account, enzovoort.
Promoten
Dit moet je zeer ruim interpreteren! De communicatie moet niet noodzakelijk een direct commercieel of lucratief doel hebben (bv. reclame maken voor bepaalde goederen of diensten). Wanneer je via de boodschap mensen warm wil maken voor een openbaar bedrijfsevenement, of mensen tips stuurt voor een gezondere levensstijl, dan zou je dus wel eens in het straatje van direct marketing terecht kunnen komen.
Uitgaande van een organisatie (ongeacht het type) of persoon
Ook dit is ruim te interpreteren. De communicatie kan zowel afkomstig zijn van een organisatie of persoon binnen de commerciële sector, als buiten de commerciële sector. Non-profitorganisaties of politieke partijen ontsnappen dus niet aan dit criterium.
Gericht aan geïdentificeerde of identificeerbare personen
Eigenlijk moet je hierbij vooral deze afweging maken: “Zijn er persoonsgegevens verwerkt bij de communicatie?”
Wat is GEEN direct marketing?
- Communicatie waarbij het initiatief enkel bij de betrokkene zelf ligt:
Een potentiële klant verzoekt via het formulier op jouw website om meer informatie te krijgen over een bepaalde dienst die je aanbiedt. Vervolgens verstuur je de gevraagde informatie naar het opgegeven e-mailadres. Dit is geen direct marketing!
Let hier wel op! Eens een betrokkene zelf initiatief toont, is dit niet zomaar een vrijgeleide deze daarna nieuwsbrieven, reclame of andere vormen van direct marketing te sturen!
- Een marketingboodschap waar geen enkele verwerking van persoonsgegevens aan te pas komt:
Je plaatst reclame op de website van jouw onderneming. Deze reclame verschijnt voor elke bezoeker van je website. Dit is geen direct marketing!
Je maakt reclame (op welke manier dan ook) waarbij je vooraf persoonsgegevens nodig had om het doelpubliek voor die reclame te bereiken. Dit is wél direct marketing!
- Indien personen worden gecontacteerd voor een marktonderzoek, peilingen of tevredenheidsenquêtes, op voorwaarde dat het contact uitsluitend voor dat doel plaatsvindt:
Na het beëindigen van een groot project met een klant, vraag je deze klant via e-mail om enkele vragen te beantwoorden over het verloop van de samenwerking. Dit is geen direct marketing!
Ondertussen voeg je in dezelfde e-mail een passage toe waarin je nog even een andere dienst aanbeveelt waar de klant volgens jou mogelijks interesse in heeft. Handig toch? Dit is echter wél direct marketing!
- Indien de boodschap enkel en alleen wordt overgebracht voor doeleinden binnen de privésfeer:
Je verstuurt huwelijksuitnodigingen naar je vrienden en familie. Je voorziet hierbij zelfs een databank om aanwezigheidsbevestigingen bij te houden. Dit is geen direct marketing!
- Communicaties van overheidsdiensten in het licht van hun wettelijke verplichtingen of hun taken van openbare dienst:
De overheid voert in het kader van Covid-19 vaccinatiecampagnes voor de volksgezondheid. Dit is geen direct marketing!
Wat indien je als onderneming naar iedereen uit jouw klantenbestand, dus zonder daarin een selectie te maken, eenzelfde aanbieding van een product of dienst via e-mail verstuurt?
Om van direct marketing te spreken, maakt het op zich niet uit of je een bewuste selectie maakt om het doelpubliek van je boodschap te bepalen.
De bepalende vraag is hier: komt er bij de boodschap een verwerking van persoonsgegevens aan te pas? Voor het verzenden via e-mail heb je in elk geval e-mailadressen nodig. Bijgevolg moet je nagaan of deze e-mailadressen persoonsgegevens zijn.
Leiden ze naar een individueel persoon? Dan zijn het persoonsgegevens en is er sprake van direct marketing! Leiden ze enkel en alleen naar een rechtspersoon (bv. info@boekenwinkel.be)? Geen persoonsgegevens en dus geen direct marketing!
Wat indien een vereniging zonder winstoogmerk (vzw) die de strijd aangaat met vervuiling, de aangesloten leden een nieuwsbrief stuurt om hen te informeren over de acties die daartoe in de buurlanden worden gevoerd. Is dit een vorm van direct marketing?
De boodschap van de communicatie veronderstelt dat je iets wil promoten. Om van promotie te spreken is het echter niet noodzakelijk dat je een commercieel of winstgevend doeleinde voor ogen hebt. Het feit dat in dit voorbeeld de leden werden gecontacteerd, impliceert dat contactgegevens nodig waren om de boodschap over te brengen. Om van direct marketing te spreken, zal men opnieuw moeten nagaan of die contactgegevens persoonsgegevens uitmaken.
Stap 2. Zorg voor transparantie
Informatie verschaffen aan betrokkenen
Betrokkenen moeten weten dat hun persoonsgegevens worden verwerkt. Ze moeten ook weten voor welke doeleinden ze worden verwerkt. Je moet daarom transparant zijn over het feit dat je hun persoonsgegevens verwerkt voor direct marketingdoeleinden.
Je zal betrokkenen dus op de een of andere manier duidelijk op de hoogte moeten stellen. En meer bepaald, vóór je aan direct marketing doet. De vorm waarin je dit doet is op zich niet van belang volgens de GDPR, maar een privacyverklaring is een uitstekende manier!
Beschrijf de direct marketingdoeleinden best zo specifiek mogelijk. Het gebruik van de woorden “Wij verwerken uw gegevens voor direct marketingdoeleinden” zal voor de GBA niet volstaan. De betrokkenen kunnen daarmee immers niet voldoende begrijpen wat er precies mee wordt bedoeld.
Enkele voorbeelden van duidelijk omschreven direct marketingdoeleinden:
“klanten informeren over nieuwe producten of diensten”
“gepersonaliseerde aanbiedingen doen voor de verjaardag van klanten”
“klanten op de hoogte houden van verschillende acties”
“ons merkimago promoten bij het grote publiek”
“klanten uitnodigen voor evenementen”
“nieuwe klanten, abonnees of leden werven”
Transparant verwerkingsregister
Ben je volgens de GDPR verplicht een verwerkingsregister bij te houden, vergeet deze dan zeker niet up-to-date te houden. Onder de verwerkingsdoeleinden zal je zo nauwkeurig mogelijk de direct marketingdoeleinden moeten opnemen.
Transparant zijn in een privacyverklaring geeft je nog geen toestemming!
Let wel op! Het is niet omdat je transparant bent in je privacyverklaring, dat je ook automatisch over een rechtsgrond beschikt om aan direct marketing te doen. Zelfs niet wanneer je het akkoord vraagt met die privacyverklaring (wat overigens helemaal niet vereist is).
Stap 3. Ga na of je over een rechtsgrond beschikt
Omdat je bij direct marketing persoonsgegevens verwerkt, moet je daar volgens de GDPR altijd een geschikte rechtsgrond voor hebben.
Heb je voor je marketing campagne ‘gevoelige’ persoonsgegevens gebruikt, dan zal je moeten nagaan of je je kan beroepen op een van de wettelijke uitzonderingen.
Doorgaans zal het echter gaan om ‘gewone’ persoonsgegevens. In dat geval moet je nagaan of je je kan beroepen op één van deze 6 verwerkingsgronden:
- Noodzakelijk om te voldoen aan een contractuele verplichting?
- Noodzakelijk om te voldoen aan een wettelijke verplichting?
- Noodzakelijk om de vitale belangen van de betrokkene te beschermen?
- Noodzakelijk voor een taak van algemeen belang?
- Noodzakelijk voor een gerechtvaardigd belang van jou of jouw organisatie?
- Is er toestemming gegeven?
Meestal zal je voor direct marketing niet kunnen terugvallen op de eerste vier gronden. Doe je bovendien aan direct marketing voor commerciële doeleinden, dan zal ook het gerechtvaardigd belang geen uitkomst bieden. Deze verwerkingsgrond vereist immers een afweging tussen jouw belangen en de fundamentele rechten en vrijheden van de betrokkenen. De GBA acht een commercieel doel echter ondergeschikt aan de persoonlijke rechten en vrijheden.
Organisaties kunnen wél een beroep doen op het gerechtvaardigd belang voor hun bestaande klanten, met wie ze dus reeds een relatie hebben. Naar deze klanten mogen ze dus direct marketing boodschappen sturen om gelijkaardige producten of diensten te promoten die de klant in het verleden heeft gekocht.
Let wel op: Bij het verzenden van de direct marketing boodschap, zal je de betrokkenen dan altijd moeten informeren over hun recht om hiertegen bezwaar te maken voor het geval ze geen direct marketing meer willen ontvangen. Dit kan je bijvoorbeeld doen door steeds een bezwaarformulier mee te verzenden of een link in te voegen om zich uit te schrijven.
In de meeste gevallen zal dus toestemming de beste methode zijn om juridisch correct te handelen volgens de GDPR. Dat betekent dat je van de betrokkene een uitdrukkelijke, geïnformeerde en vrije toestemming hebt gekregen om direct marketing boodschappen te krijgen.
Een vraag die we vaak krijgen: mag je potentiële klanten contacteren om jouw diensten aan te bieden via de gegevens die je van hen verzameld hebt via de Kruispuntbank van Ondernemingen (KBO)?
Hier is enkel toestemming een mogelijke verwerkingsgrond. Het is echter niet omdat gegevens openbaar raadpleegbaar zijn (of het nu afkomstig is van de KBO of ergens anders), dat je ze zomaar mag gebruiken voor direct marketing.
De GDPR is evengoed van toepassing op openbaar gemaakte persoonsgegevens. Je hebt dus ook een geldige rechtsgrond nodig.
Was er dan geen toestemming toen ze die persoonsgegevens openbaar maakten? Neen! Een geldige toestemming is immers doelgebonden. Je zal dus moeten nagaan of zij toestemming hebben gegeven om op deze manier aan direct marketing onderworpen te worden. In de context van de KBO bijvoorbeeld is dat niet het geval!
Een mogelijk alternatief zou in dit geval kunnen zijn om enkel bedrijven te contacteren via contactgegevens die niet herleidbaar zijn tot een individu. Let hierbij wel op voor eenmanszaken, freelancers en vrije beroepers zoals artsen. De gegevens die je hiervan terugvindt, zullen vaak de naam van de persoon zelf dragen en dus als persoonsgegevens worden gekwalificeerd!
Heb je geen persoonsgegevens gebruikt voor de adressering van de boodschap, let er dan wel op dat je ook in de boodschap zelf geen persoonsgegevens verwerkt.
Je doet beroep op een marketingbureau om jouw marketingcampagnes te verbeteren. Je krijgt daarvoor van dit bureau extra persoonsgegevens waarover je zelf niet beschikte. Wat nu?
Als verwerkingsverantwoordelijke moet je er zelf voor instaan dat de persoonsgegevens door het marketingbureau op een rechtmatige en eerlijke manier werden verzameld. Check dus zeker of het marketingbureau zelf over een juiste rechtsgrond beschikt!
Het is maar hoe je het bekijkt
Rekening moeten houden met al die regels om mensen te kunnen bereiken en aan te trekken voor jouw diensten of goederen, velen vinden het een lastige drempel.
Je kan er ook met een andere bril naar kijken: het is een opportuniteit om een vertrouwensrelatie op te bouwen met jouw klanten, leden, abonnees, kiezers of potentiële gegadigden. Dat creëer je door op een transparante wijze te communiceren hoe je hun persoonsgegevens verwerkt en door te laten zien dat je hun recht op gegevensbescherming respecteert. Sterker nog, je kan het zien als een manier om jouw onderneming positief te onderscheiden van anderen.
Conclusie
De ruime interpretatie bevestigt dat er heel wat initiatieven zijn die als direct marketing zullen beschouwd worden. De grote impact: al is het principieel toegelaten, het zal in de praktijk niet steeds zo simpel zijn!
Worden er persoonsgegevens verwerkt in uw marketingstrategie, wees dan vooral transparant en zorg ervoor dat je over een juiste rechtsgrond beschikt.
Bij vragen hierover kan u ons steeds contacteren via hallo@dejuristen.be.
Geschreven door Larissa De Keyser , Trainee deJuristen, en Kris Seyen, Partner deJuristen
